La sorprendente verdad sobre la transformación digital: saltarse la seguridad

Este es el tercer blog de una serie sobre los desafíos que surgen de la transformación digital.

• La sorprendente verdad sobre la transformación digital
• La sorprendente verdad sobre la transformación digital: Caos en las nubes

Saltarse la seguridad.

No será una sorpresa para muchos veteranos de TI saber que cuando el rendimiento de una aplicación se convierte en un problema, la seguridad suele ser el primer servicio que se deja de lado. ¿El firewall se cae ante un ataque? Apágalo. ¿Servicios abrumados por una demanda repentina? Apágalos.

Durante veinte años hemos estado dejando sistemáticamente la seguridad de lado cuando el rendimiento de las aplicação se vuelve problemático.

Por lo tanto, no debería sorprender que, cuando se trata del rendimiento del pipeline, a menudo se pase por alto la seguridad.

Nueve de cada diez ejecutivos admiten sentirse presionados para sacar aplicaciones al mercado con mayor rapidez y frecuencia gracias a la transformación digital.

Es irrelevante si los ejecutivos transmiten esa presión de manera explícita o implícita a los responsables; los desarrolladores y las operaciones a menudo se sienten presionados cuando se trata de lanzar aplicaciones en un tiempo récord.

Y quizás por eso admiten que se saltan los controles de seguridad. Casi la mitad (44%) de los participantes en una encuesta de IBM/Arxan realizada a desarrolladores móviles y de IoT lo hizo, y es probable que los desarrolladores de otras industrias admitan lo mismo.

La seguridad es difícil, después de todo. Hay mucha superficie de ataque ahí fuera y ninguna capa queda intacta. Desde la red hasta la plataforma y la aplicação, hay más formas de infiltrarse en aplicaciones y exfiltrar datos que capas en la red.

Pero si observamos las mayores infracciones de los últimos tiempos, veremos surgir un patrón que puede ayudar a todos a concentrar su tiempo limitado en el mayor riesgo.

Todos hemos oído hablar de la violación de datos de Equifax. Conocemos los sórdidos detalles y, como muchas otras organizaciones, fueron atrapados por una vulnerabilidad publicada ejecutada contra un marco de terceros sin parchear a través de una plataforma web. Es probable que el descubrimiento se haya logrado, aunque no se haya verificado, mediante un bot o script automatizado que buscaba objetivos probables. Probablemente porque una gran mayoría de la actividad de los bots en estos días no es tráfico de ataque, sino misiones de reconocimiento de investigación.

Resulta que ha pasado mucho tiempo desde que alguien logró ingresar a través de SSH o de una vulnerabilidad de la red. Los atacantes de hoy buscan aplicaciones y credenciales, y utilizan bots para encontrar vulnerabilidades lucrativas y llevar a cabo el ataque.

Los tres principales riesgos de seguridad contra los que debes proteger tus aplicaciones son:

• Los diez mejores de OWASP. SQLi, XSS, inyección de comandos, inyección No-SQLi, recorrido de ruta y recursos predecibles
• CVEs. Apache, Apache Struts, Bash, Elasticsearch, IIS, JBoss, JSP, Java, Joomla, MySQL, Node.js, PHP, PHPMyAdmin, Perl, Ruby On Rails y WordPress.
• Bots. Escáneres de vulnerabilidad, raspadores web, herramientas DDoS y herramientas de spam en foros.

Aquí es donde la estandarización de la plataforma y la política de seguridad se unen a la arquitectura por aplicación para brindar una manera efectiva de remediar el riesgo antes de que se convierta en una amenaza existencial. La estandarización en una plataforma significa la capacidad de estandarizar la política. Usando esa combinación, los profesionales de seguridad pueden crear una política de seguridad estándar que luego puede implementarse automáticamente en cada aplicación, protegiéndola inmediatamente contra las últimas amenazas. Dado que es por aplicación, se pueden agregar protecciones específicas de cada aplicación para brindar protección adicional, pero como mínimo, tendrá más confianza al saber que los vectores de ataque más probables están cubiertos.

El otro beneficio de una arquitectura por aplicación es que las aplicaciones normalmente no están protegidas por algo como un WAF (sí, lo sé, ¿por qué sería así? Pero créanme, hay cosas que se pueden proteger en el corto plazo inyectando una nueva instancia con las políticas apropiadas en el flujo de trabajo de la aplicación durante el tiempo que sea necesario. Entonces, cuando se publique ese CVE (y se publicará), los profesionales de seguridad podrán implementar inmediatamente una política de mitigación e inyectarla en la ruta de cada aplicação vulnerable antes de que pueda ser explotada.

La respuesta a los desarrolladores que se saltan la seguridad debido a las presiones para cumplir con los requisitos de la transformación digital es la estandarización. Estandarice una plataforma de seguridad de aplicação común para poder aprovechar su capacidad de estandarizar políticas e implementarlas en el proceso como un profesional.

Manténte atento a la próxima publicación de esta serie, en la que profundizaremos en cómo puedes lidiar con la deseconomía de escala que surge de la tendencia de la transformación digital a crear más aplicaciones que operaciones.